Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 62 reacties
Submitter: Simyager

De database van sanriotown.com is online verschenen, waarmee de accountgegevens van 3,3 miljoen gebruikers van de site op straat liggen. Sanriotown is de site van de community van Hello Kitty-liefhebbers, waardoor het waarschijnlijk om veel accounts van kinderen gaat.

De database, die online is gezet door hackers, bevat namen, geboortedata, geslacht, land van herkomst en e-mailadres. Ook liggen de sha-1-wachtwoordhashes, die niet zijn gesalt, op straat, evenals de hints voor de wachtwoorden en hun respectievelijke antwoorden.

Sanrio is het Japanse bedrijf achter Hello Kitty en andere personages van de franchise en sanriotown is de officiële communitysite. Daarnaast gebruikten andere Hello Kitty-portals dezelfde database, waaronder hellokitty.com, hellokitty.com.sg, hellokitty.com.my, hellokitty.in en mymelody.com. Ook twee databasemirrors zijn toegankelijk. Niet bekend is hoe lang de informatie al online staat; de oudste datum die te achterhalen is, is 22 november 2015. De beveiligingsonderzoeker Chris Vickery ontdekte de hack en lichtte CSO daar over in.

Sanrio en de hostingprovider zijn van de hack op de hoogte gebracht, maar hebben nog niet gereageerd. Details over de manier waarop de hackers de database wisten binnen te dringen zijn niet bekend, maar volgens Databreaches ging het om een MongoDB-database. Begin dit jaar waarschuwden experts dat veel MongoDB-servers niet goed geconfigureerd waren en in maart werd een ernstig lek in de phpMoAdmin-tool van de software ontdekt. De nu ontdekte hack volgt op die van speelgoedfabrikant VTech, die in totaal 11 miljoen accounts betrof, waaronder 6,4 miljoen van kinderen.

Sanrio Hello Kitty

Moderatie-faq Wijzig weergave

Reacties (62)

Dat is een fors aantal gedupeerden. Toch apart dat we inmiddels wetten en regels hebben voor de omgang met privacy gevoelige data, maar dat er nog geen minimum standaard is die dwingend wordt voorgeschreven aan wat voor voorwaarden je opslag moet doen. Het CPB schrijft in haar richtsnoer: "Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden" Ik weet ook in Europees verband niet van goede verplichtingen op dit gebied. Maar als we dit aan de markt overlaten, blijven dit soort lekken plaatsvinden. Nou is het an sich niet erg als er persoonsgegevens van mensen bekend zijn, maar doordat mensen login credentials vaak recyclen, ontstaan er wel problemen. Het argument: dan moet het publiek beter omgaan met wachtwoorden is een flauwe. Ja iedereen kan en moet imho aan de password manager, maar ook bedrijven moeten hun steentje bijdragen en beveiliging goed implementeren.
Nou is het an sich niet erg als er persoonsgegevens van mensen bekend zijn
Wat een aparte uitspraak, licht die eens toe.
Ik had me inderdaad iets preciezer kunnen uitdrukken: Persoonsgegevens zijn vaak al bekend of we maken ze zelf bekend. Denk aan naam, geslacht, gebruikersnaam, email. Door de bank genomen kan iemand niet zoveel met die data.
Wordt er een site gehacked dan moet je voor die site even nieuwe credentials aanmaken.
Bij sommige sites is het gênant of slecht voor je carrière, maar meestal valt de schade wel te overzien. Het wordt wat anders als iemand bij veel sites onder dezelfde gebruikersnaam / email adres actief is en hetzelfde wachtwoord gebruikt.
Weet je hoe makkelijk het is om met maar een beperkt aantal gegevens identiteitsfraude te plegen in sommige landen of zelfs in Nederland.

En ja je kan dingen soms ook ergens anders vinden maar waarom zoeken en info koppellen als het ergens anders al voor je gedaan is?
Kan iemand niet zoveel met die data?

Die data is hard op weg om groter te worden dan menig andere fysieke grondstof.
Dit is lang aan de gang en de waarde van informatie is gewoon op te zoeken.
Bijvoorbeeld via de legale weg van marketeers: deze calculator op de Financial Times

Verder twee interessante 'short reads' over hoe snel die data meer waard wordt : weforum , Guardian.
Probleem is natuurlijk wel dat je niet zomaar kunt voorschrijven hoe de opslag MOET zijn, want wat vandaag veilig LIJKT kan morgen zo lek als een mandje zijn. En wat de 1 onveilig vindt kan voor de ander gewoon veilig lijken, niet iedereen is een expert op elk gebied (en kan dat ook nooit zijn), en er zijn natuurlijk ook altijd mensen die denken dat ze wel een expert zijn...
En een password manager is ook niet DE oplossing, want het is al wel weer gebleken dat die managers zelf ook verre van veilig zijn..
Probleem is natuurlijk wel dat je niet zomaar kunt voorschrijven hoe de opslag MOET zijn, want wat vandaag veilig LIJKT kan morgen zo lek als een mandje zijn.
Je kunt natuurlijk wel voorschrijven dat tenminste moet worden voldaan aan de eisen waarvan men vindt dat die op dit moment veilig zijn. De situatie wordt er dan in elk geval een stuk beter door dan wanneer niemand iets aan de beveiliging verbeterd onder het mom van 'het wordt ooit toch wel onveilig verklaard'.
op dit moment
Dat is in ieder geval wel mijn interpretatie van wat het CBP voorschrijft met
Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden
Maar dan is het nog steeds erg vaag.
Daarom is het CBP ook vaag in zulke dingen. "Maak gebruik van algemeen geaccepteerde beveiligingsstandaarden" betekent dat je het lekker zelf mag uitzoeken en eigenlijk gewoon altijd op de hoogte moet zijn van de laatste geaccepteerde beveiligingsstandaarden. Doen wat jij denkt dat het beste is is dus niet voldoende, je moet gewoon het beste doen. Is die kennis er niet dan moet je die zoeken.

Per 2016 moet je al een datalek melding doen bij het CBP als je bij het dichten van een potentiële lek niet kan uitsluiten dat er geen data is gelekt. Ik weet niet wanneer het CBP een melding serieus gaat verwerken, maar bij een serieuze melding zal het CBP beoordelen of je voldoende de moeite heb genomen om de lek te voorkomen. Hierbij moet je aangeven wat er gelekt is/zou kunnen zijn. Goed geëncrypte data is dan een veel kleiner probleem dan identiteitsbewijzen (die je aan de ene kant bij wet niet mag bewaren maar aan de andere kant van de belastingdienst wel weer verplicht moet bewaren). Regelmatige pen tests, elke dag up-to-date software, stricte bedrijfspolicies, goede audit trails etc. Stel er is gisteren een security update uitgekomen voor Apache dan moet die eigenlijk vandaag al op de servers staan. Er komt heel veel bij kijken om datalekken te voorkomen en detecteren. Doe je dit niet dan kan je maximaal een boete van ¤ 820.000 krijgen.

[Reactie gewijzigd door Zerotorescue op 21 december 2015 11:43]

Is het motief van de hackers bekend?

Zouden zij losgeld gevraagd hebben met als dreigement de database te releasen? Zijn het idealisten die "gewoon" willen aantonen dat de website lek is? En waarom een website als deze?

Een hoop vragen toch die naar boven komen bij mij...
Tsja, kinderen lijken het nieuwe doelwit te zijn ofzo? Laatst als die V-Tech hack, waar de beveiliging ook brak was. Ik had eigenlijk een beetje gehoopt dat de andere "speelgoedbedrijven" dan ook even kritisch naar hun eigen beveiliging zouden kijken... Niet dus.

Maar goed, ik ben erg benieuwd naar de reactie van "de gemeenschap", want het gaat nu om kinderen en dan vinden we beveiligingslekken ineens wel erg ;)

[Reactie gewijzigd door Grrrrrene op 21 december 2015 09:12]

het motief is gewoon de mogelijkheid.

in veel gevallen hacken ze sites als deze omdat een of andere scan een kwetsbaarheid heeft ontdekt en vervolgens gaan ze kijken of er iets te halen valt
//offtopic
Is het motief van de hackers bekend?
Wat is het motief? Moord :+ .

//ontopic
Ik snap best dat het kinder(speelgoed) bedrijven zijn. Maar de servers van hun zijn wel kinderachtig eenvoudig te hacken. :+
Hoe kan ik weten of mijn account ook op straat ligt?

[Reactie gewijzigd door Daan87423 op 21 december 2015 08:48]

Als je een account had op een van de vermeldde websites kan je ervanuit gaan dat je account ook in de dump zit.

Overal waar je dezelfde wachtwoorden en / of herstelvragen gebruikt dus gaan aanpassen.
Ik zie dus net dat mijn account "breached" is door de Adobe hack.

Heb even gecheckt welk wachtwoord dat is en gelukkig mijn wachtwoord die ik voor algemene sites (nieuwssites/forums) gebruik. Compleet ander wachtwoord dan die ik gebruik voor mijn e-mail/bankzaken etc. Ben ook niet van plan mijn wachtwoord overal te gaan veranderen. Als iemand een berichtje onder mijn naam wil plaatsen dan gaan ze hun gang maar of denk ik hier te licht over?
Bewaar toch maar ergens het bewijs dat je email-pwd combo publiek gekend is. Als er iets van komt kan je dat dan aantonen...
En als je niet in de Hello Kitty hack zit maar je gebruikt ergens toch dezelfde wachtwoorden en/of herstelvragen is dit opnieuw een goede reden om te zorgen dat dat NIET zo is.

Gebruik een password manager of verzin iets anders, maar dit is vast niet de aller aller laatste keer dat er ergens een data breach plaatsvindt, dus het blijft verstandig om er aan je eigen kant vanalles aan te doen om te zorgen dat als je wel in een dump terecht komt de impact voor jezelf minimaal is.
haveibeenpwned.com is website gerund door Troy Hunt, vrij bekende hacker en spreker, daar zal deze dataset over niet al te lang wel bij zitten. Kun je op basis van email checken of je er tussen zit.

https://haveibeenpwned.com

[Reactie gewijzigd door Dasprive op 21 december 2015 08:58]

Een uitgebreide variant van haveibeenpwnd: https://canary.pw
Damn, heb mijn email-adres en wachtwoord (in PLAIN-TEXT!!!) teruggevonden tussen een dump van een hack van 000webhost in november... Gelukkig was het een wachtwoord dat ik nergens (meer) gebruik. Waarom maken ze die dumps eigenlijk openbaar? Voor de onwetende gebruiker is dat wel knap lastig dat iedereen publiek je email-adres kan queryen :p
geeft een SSL error in IE en Chrome :(
Heel erg bedankt voor die site. Ik heb het altijd al eens willen controleren. Zie je toch maar dat je wel degelijk ergens bestaat.

Wel grappig trouwens dat ik blijkbaar compromised ben onder de Bitcoin Security Forum Gmail dump. Ik ben alleen nooit lid geweest van bitcoin en ben in al mijn ongetwijfeld seniore naiviteit een fel tegenstander van het principe.

Dus...de vraag is, Beantwoord Wat bevatte die hack precies? Was het een hack van daadwerkelijk de Google database(s), of anders nl.? Google search op die hack geeft wat omslachtige results.

Edit: aanpassing.

[Reactie gewijzigd door Oyxl op 21 december 2015 09:39]

Van de site zelf:
In September 2014, a large dump of nearly 5M usernames and passwords was posted to a Russian Bitcoin forum. Whilst commonly reported as 5M "Gmail passwords", the dump also contained 123k yandex.ru addresses. Whilst the origin of the breach remains unclear, the breached credentials were confirmed by multiple source as correct, albeit a number of years old.
Ja dat vind ik dus een beetje vaag verwoord ;) Denken mensen serieus van elkaar dat ze nooit iets lezen?
Waarschijnlijk was je geintresseerd in een russiche bruid en zijn die gegevens in die database yandex.ru gekomen.;)
De tekst op zich is duidelijk genoeg toch? Ze weten niet precies wanneer de hack zich voorgedaan heeft maar de gegevens zijn door verschillende bronnen bevestigd.

Mijn e-mailadres staat er ook in met wachtwoord, en die is ook correct. Inmiddels aangepast natuurlijk.

[Reactie gewijzigd door jaapzb op 21 december 2015 11:38]

*zucht* Ik kan niet duidelijk uit de context herleiden of het een 1:1 dump is van de inhoud van Gmail(Google), of dat het om informatie gaat dat verzameld is uit secundaire bronnen. Dat wordt geen seconde duidelijk gemaakt.

PCWorld verheldert dat; sommige bronnen zeggen dat de informatie inderdaad overeenkomt met hun mail gegevens, anderen zeggen dat dit niet het geval is en nooit het geval geweest is. De aanname die mede op basis daarvan kan worden gedaan is dat het een samengestelde lijst is uit diverse bronnen, maar dat het dus wel specifiek om het gmail account gaat, niet om een account op een site gemaakt met het gmail account.

Is het nu echt nodig om altijd maar te zoeken naar denkfouten in andermans uitspraken? Je zet jezelf voor lul, want je zit er naast en laten we eerlijk zijn, het draagt verder ook niets bij. En het begint allemaal bij een stukje begrijpend lezen.

edit; Ik had weliswaar een vrij sterk wachtwoord (32 tekens en combinaties van vreemde tekens en normale meertalige woorden) en tref nergens een lijst incl. de wachtwoorden aan (gelukkig maar denk ik dan), maar heb toch m'n ww maar gewijzigd. Ik baal er wel van, na 8 jaar opeens weer om moeten is toch weer ff wennen.

[Reactie gewijzigd door Oyxl op 21 december 2015 12:21]

Ik kan niet duidelijk uit de context herleiden of het een 1:1 dump is van de inhoud van Gmail(Google), of dat het om informatie gaat dat verzameld is uit secundaire bronnen. Dat wordt geen seconde duidelijk gemaakt.
Jij vroeg je af waar de data uit die dump vandaan kwam, en de tekst die er bij stond zegt duidelijk dat men dat gewoon niet precies weet. Ook de PCWorld bron die jij aanhaalt weet het niet, die doet ook maar een aanname.
Is het nu echt nodig om altijd maar te zoeken naar denkfouten in andermans uitspraken? Je zet jezelf voor lul, want je zit er naast en laten we eerlijk zijn, het draagt verder ook niets bij. En het begint allemaal bij een stukje begrijpend lezen.
Ik denk dat jij jezelf voor lul zet door zo te reageren op een normale comment met een normale vraag. Niet iedereen kan zien wat er zich allemaal in jouw blijkbaar briljante brein voordoet, sorry daarvoor.
Ik denk dat jij jezelf voor lul zet door zo te reageren op een normale comment met een normale vraag.
De strekking van je vraag is toch vrij duidelijk? Jij vraagt je af of ik kan lezen, want volgens jou staat het er duidelijk. Ik vind dat het contextueel op meerdere manieren valt te interpreteren en daarmee is het dus per definitie niet duidelijk. Als ik al eerder aangeef dat ik het heb gelezen, dan zou jij moeten kunnen begrijpen dat het blijkbaar voor mij niet voldoende informatie bevatte.

Vervolgens reageer je met een tijdsbepaling (wanneer),
De tekst op zich is duidelijk genoeg toch? Ze weten niet precies wanneer de hack zich voorgedaan heeft maar de gegevens zijn door verschillende bronnen bevestigd.
maar ik vraag om een specificatie van de collectie (wat).
Wat bevatte die hack precies? Was het een hack van daadwerkelijk de Google database(s), of anders nl.? Google search op die hack geeft wat omslachtige results.
Je interpreteert op dat moment mijn vraag blijkbaar niet goed, maar doet in eerste instantie alsof ik degene ben die niet kan lezen.

Het gaat mij niet om briljante breinen, maar als we nu gewoon met z'n allen lezen wat er staat en niet skimmen en vervolgens met de Franse slag interpreteren, dan zitten we ook vaker op één lijn. Ik specificeer exact wat ik wil weten (albeit doorgestreept inmiddels) en het antwoord staat duidelijk in het PCWorld stuk, waar dat niet het geval is in de comments op haveibeenpwned.

Daarnaast kunnen we ook de insinuaties die tussen de regels door worden gedaan dan laten vallen. Praat wel zo lekker als we er niet allemaal op uit zijn om te bewijzen dat we slimmer zijn dan de ander.

[Reactie gewijzigd door Oyxl op 21 december 2015 13:07]

Je probeert meer uit mijn reactie te halen dan er in staat. Bovendien ben jij in deze discussie degene die "insinuaties tussen de regels door" doet.

Was gezellig, doei!
Zeker doen! Want niet alleen van wat er tot nu toe bekend is, als er over X maanden een nieuwe dump is en je staat daar wel in ontvang je alsnog een melding hierover. Het is ook op domein niveau (dus *@jedomein.nl) mogelijk als je dit voor een bedrijf in beheer hebt.
Er was geloof ik een website die een database had van alle e-mail adressen die gelekt zijn tijdens bijna alle grote hacks. Ik ben even de naam vergeten maar ik weet dat bij verschillende shows van Jupiter Broadcasting wordt genoemt. (Edit; Dasprive heeft hem hierboven al genoemd zie ik)

That said; veel van de bedrijven waarbij een dergelijke hack wordt geopenbaard geven ook een e-mail uit dat je account is gehackt en dat het aan te raden valt je wachtwoord aan te passen.

Verder altijd de standaard adviezen:
- Gebruik overal andere wachtwoorden
- Gebruik veilige, lange wachtwoorden
- Regelmatig wachtwoorden veranderen

Andere adviezen zijn zaken zoals:
- Wachtwoord managers
- Verschillende e-mail adressen voor verschillende zaken online
- Bijhouden wat er allemaal gehackt is en mogelijk ingrijpen als een e-mail adres van je wordt geopenbaard bij een hack.


Ik weet zeker dat onze Tweakers community hier experts heeft die meer op dit gebied weten dan mij en ook wel bereid zijn dit te delen. :)

Ik geloof dat ook Tweakers zelf hierover wel eens artikelen over heeft geschreven. Als je verder geinteresseerd bent hierin raad ik je om buiten nieuwswebsites zoals Tweakers PodCast shows te volgen (deze staan ook op Youtube):
- Tech Snap
- TwITonSecurity
Beide komen weekelijks en behandelen o.a. hacks, hackersgroepen en beveiliging.

[Reactie gewijzigd door Auredium op 21 december 2015 09:17]

Zo kijken naar de soorten databases die daar genoemd staan, sta ik toch niet bij die sites geregistreerd.. :)

Ik heb alleen het gevoel dat als ik hier mijn email ga invullen, ik juist hierdoor op basis van mijn IP en mailadres alleen maar meer zooi ga ontvangen per e-mail.. :?
Ik heb daar ook al eens het e.e.a gechecked, maar nooit spam gekregen. Dus dat valt wel mee. Verder kunnen ze maar weinig met je e-mail. Je weet nooit wat je kunt vertrouwen, maar miljoenen mensen gingen je voor met hun gegevens checken daar.

Ik ben wel op meerdere dingen gepwned:
  • Iets met Gmail
  • Origin
  • Steam community
  • Adobe
  • Soundcloud
Dan is het wel verrotte handig om te gebruiken, zo weet je wel waar je prioriteiten moeten liggen qua wachtwoorden veranderen.

EDIT
Ik heb net zelf ook weer ff gekeken, je krijgt daar ook de keuze door op een linkje te klikken: Notify me when I get pwned. Kan handig zijn, doe het zelf niet, ik kijk heel af en toe eens op die site.

[Reactie gewijzigd door xoniq op 21 december 2015 14:14]

De oudste datum 22/11/2015 is de oudste datum van die bekend is van publicatie van de database. Dus als je na die datum een account hebt aangemaakt, zit je redelijk veilig (tenzij men de DB meerdere malen heeft gedownload maar veelal is dat niet het geval al blijft dit een aanname). Voor die datum, kan je er beter vanuit gaan dat je account erbij betrokken is. Dus WW veranderen en de hint veranderen. Ook op andere websites waar je wellicht een ander WW gebruikt, maar misschien wel dezelfde hint verander je het beste de hint.

Het is niet absoluut noodzakelijk dat jouw account erbij betrokken is, maar dat weet je pas nadat Sanrio hierover een mededeling doet. Maar met dit soort zaken, wacht je er beter niet op en neem je pro-actief actie.
Woehoe, het is al sha1 ipv md5. Vooruitgang. Wie weet worden ze ook ooit gesalt...
Vind trouwens dat ze op simpele fora en dergelijke security questions gewoon achterwege moeten laten. Daar zit nu de echt waardevolle info in, niet in een username of geboortedatum.
En als ik zelf ergens registreer moet ik altijd al die fake antwoorden bijhouden voor mocht ik ooit m'n account moeten resetten...

Nu kunnen we nog niet goed inschatten of er enig werkelijk effect is voor een kind als het in zo'n datalek zit, maar over 10-15 jaar als die kids van de Hello Kitty's en Vtechs groot zijn kunnen ze hun naam nog wel eens op vreemde plekken tegenkomen.

[Reactie gewijzigd door Dasprive op 21 december 2015 08:50]

Ze moeten hier een hoge straf opleggen aan de daders gezien het om gegevens van kinderen gaat. Indirect kunnen de perverse mannetjes zo een selectie maken en je weet niet wat nog meer.
Het mom dat het om te kijken is hoe de beveiliging is gaat dit al voorbij. Waarom doen ze dat niet in samenspraak zou je zeggen, kun je nog een beloning krijgen ook in plaats van celstraf riskeren.
Vanaf afstand inbreken in andermans eigendom blijft hoe dan ook een laffe daad.

[Reactie gewijzigd door djartistic op 21 december 2015 09:16]

Op 1 april van dit jaar (toeval of niet) zijn ze ook al gehackt

http://www.databreaches.n...sonal-information-leaked/

hier staat
The information may include the names, addresses and phone numbers of as many as 6,249 shareholders who participated in an online rewards program, the Tokyo-based retail and licensing company said in a statement Wednesday.
Warom hebben de dan in het tussenlichende jaar onvoldoende maatregelen genomen om nog een aanval te voorkomen? of zijn we echt alleen maar melkkoeien.
Dat je een database hackt en het desbetreffende bedrijf/instantie erover inlicht is alleen maar goed. Het ontfutselen en online zetten van gegevens van onschuldige mensen is gewoon fout en hier mag een flinke straf op zitten. Oppakken dit soort gasten! Ik hoop dat ze gevonden worden en een flinke straf krijgen. Een matige beveiliging is nog geen excuus om zomaar iemand zijn gegevens online te verspreiden. De 'goede' hackers worden hier helaas weer de dupe van. Zij krijgen een slechte naam door de daden van dit soort types.

[Reactie gewijzigd door daanb14 op 21 december 2015 09:30]

volgens mij zijn dit gewoon organisaties die proberen hackers over het algemeen zwart te maken door websites te hacken waar niemand interesse in heeft behalve pedo's.
Er wordt weer lekker gestoeid in de hersenpannen.

Afgezien mijn tinfoilhat, vind ik wel dat iedereen die een website is verplicht moet kunnen worden hem te updaten en aansprakelijk gesteld moet zijn voor datadiefstal.
Net zoals winkels hun eigen voorraad zodanig moeten opbergen dat je niet zo het magazijn kan inlopen en alles kan meenemen zonder dat ze erachterkomen.

[Reactie gewijzigd door illecoco op 21 december 2015 08:56]

Dat is precies wat er dankzij de nieuwe europese privacywet mogelijk wordt. Die wordt een dezer weken / maanden finaal goedgekeurd.

Dan kunnen er ook boetes worden uitgedeeld. Al moet je je afvragen of beheerders van dit soort website daar slachtoffer van moeten worden.
De aanstaande privacywet zal op dit punt helaas weinig gaan veranderen. Sanrio heeft de website niet zelf gebouwd, maar uitbesteed. Sanrio zal dan van het CPB (of andere Europese instantie) een boete kunnen krijgen, maar die schuiven zij door naar de webbouwer..

Daarbij zijn overigens de boetes van dit soort instanties niet afschrikwekkend. Want men zal de boete echt niet vaststellen op 1000 euro per gelekte persoon. Voor Sanrio zou de boete dan 3,3 miljard euro (3,3 miljoen x 1000) moeten zijn.

Moet jij een opletten hoe sterk het aantal hacks afneemt nadat een aantal bedrijven een miljarden boete hebben gekregen..

Tools zoals phpMoAdmin behoren gewoon niet op een productie webserver thuis. Want dan moet je dat soort resources ineens met apache gaan beveiligingen in plaats van dat als je de tool op een aparte (beheer) webserver plaatst, je de gehele server al kunt dichtzetten in de firewall. Pas nadat je een VPN verbinding hebt, kun je dergelijke webbased tools benaderen..
Denk niet dat boete doorschuiven naar bewerker hier opgaat: web bouwer bouwt de site, maar is vaak niet verantwoordelijk voor onderhoud of het platform waar het op draait en veel van dit soort hacks komen uit achterstallig onderhoud, niet vanwege een (destijds) onveilig gebouwde applicatie. Al weet ik niet of dat hier opgaat.

De boete zoals omschreven in de GDPR zal gebaseerd worden op de omzet van bedrijven, geen idee of dat in dit geval een interessant gegeven is (ik weet niet of het een gratis forum of een winstgevend bedrijf is).
Ik vind als je een website opricht en daar miljoenen accounts op gaat laten registreren dat je best wel bewust mag zijn van het risico dat het met zich meebrengt en daar dus zorgvuldig mee om gaat.
Of dat er een soort van instantie wordt opgericht die website met miljoenen accounts gaat testen op hun beveiliging en het zo nodig hier en daar gaat opkrikken.
3,3 miljoen is toch een leuke score vergeleken met andere hacks. Dat kan de reden van de hack geweest zijn.
Het grootste gedeelte van de gejatte info bestaat volgens mij slechts uit nicknames en email-adressen. Een beetje '2000' als je het mij vraagt.

Opvallend dat ze een 18-jaar leeftijd-check doen op een site voor kinderen. Is dit indekken? Alle kinderen hebben dus al gelogen over hun leeftijd waardoor zij (+ouders) de boel daardoor misschien bij voorbaat al in mindere mate aansprakelijk kunnen stellen.
Volgens jou.... Misschien moet je eens de feiten lezen.

Wat de leeftijd betreft, er zullen ook genoeg volwassenen zijn die een account hebben aangemaakt voor hun jonge spruiten.
Meer dan dat is niet verplicht. Je kan als je wil nog 'name', 'country' en wat andere velden invoeren. Er is geen email-activatie, het werkt gelijk, ook met een niet-bestaand emailadres en verzonnen info. Een nieuw account maken is bijna net zo snel als inloggen met een bestaande.

edit: misschien heeft er wel iemand een manier verzonnen om een account-aanmaakscript een bak van die dingen te laten aanmaken om vervolgens de log daarvan te publiceren als lijst met "gehackte" accounts :+

[Reactie gewijzigd door blorf op 21 december 2015 11:43]

Ik ben er 1 van!! :z

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True